Cisco Intrusion Detection System Device Manager および Event Viewer インストレーション ユーザ ガイド
IDS Event Viewer
IDS Event Viewer
発行日;2012/02/07 | 英語版ドキュメント(2010/02/22 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 4MB) | フィードバック

目次

IDS Event Viewer

システム要件

IDS Event Viewer での作業

IDS Event Viewer のインストール

IDS Event Viewer のアンインストール

IDS Event Viewer のアップグレード

IDS Event Viewer の起動

監視するデバイスの選択

デバイスの追加

デバイス プロパティの編集

デバイスの削除

デバイス ステータスの確認

IDS Device Manager へのアクセス

フィルタの設定

フィルタの作成

フィルタ プロパティの編集

フィルタの削除

ビューの設定

ビューの作成

ビュー プロパティの編集

ビューの削除

プリファレンスの設定

リフレッシュ サイクルの設定

データ アーカイブの設定

アプリケーション設定の構成

Web ブラウザ アプリケーションの位置の指定

Ethereal アプリケーションの位置の指定

NSDB フォルダの位置の指定

自動リフレッシュ ビュー設定の変更

イベント データの表示

表およびグラフの概要

データ ソースの指定

すべてのカラムの表示

カラム データのソート

複数のビューの表示

イベント詳細の表示

グラフのイベントの表示

Realtime Dashboard でのイベントの表示

Realtime Dashboard 設定の構成

Ethereal の使用

アラームの処理

データベース管理

IDS Event Viewer

IDS Event Viewer は、最大 5 個のセンサーのアラームを表示および管理できる Java ベースのアプリケーションです。IDS Event Viewer を使用すると、アラームをリアル タイムで、またはインポートされたログ ファイルとして接続および表示できます。フィルタおよびビューを設定すると、アラームを管理したり、詳細分析の実行用にイベント データをインポートおよびエクスポートできるようになります。また、IDS Event Viewer では、シクニチャ記述用の Network Security Database(NSDB; ネットワーク セキュリティ データベース)へのアクセスも提供しています。

システム要件

IDS Event Viewer は、次のプラットフォームにインストールできます(英語バージョンのみ)。

Windows NT 4 Service Pack 6

Windows 2000 Service Pack 2

Windows XP Service Pack 1

IDS Event Viewer では、次のサポート アプリケーションがインストールおよび使用されます。

Java 2 Runtime Environment Version 1.3.1

MySQL Version 3.23

IDS Event Viewer は、次のハードウェア要件(またはそれ以上)に適合するシステムにインストールできます。

Pentium III 800 Mhz またはそれ以上

256 MB RAM

空きディスク容量 500 MB

IDS Event Viewer での作業

IDS Event Viewer では、最大 5 個のセンサーのアラーム フィードを表示および管理できます。次のタスク フローでは、IDS Event Viewer の設定および作業方法についての高レベル タスクを概説します。


ステップ 1 IDS Event Viewer をインストールして起動します。


警告 バージョン 3.1 からバージョン 4.x へはアップグレードできません。IDS Event Viewer 3.1 を使用している場合は、そのバージョンをアンインストールしてからバージョン 4.x をインストールしてください。


詳細については、次の参考資料を参照してください。

1. 「IDS Event Viewer のインストール」

2. 「IDS Event Viewer のアンインストール」

3. 「IDS Event Viewer のアップグレード」

4. 「IDS Event Viewer の起動」

ステップ 2 IDS Event Viewer で監視するセンサーを指定します。


) IDS Event Viewer からセンサーに接続できるように、IDS Event Viewer ホストからの接続を許可するようにセンサーを設定し、ビューア アクセス特権を持つアカウントをセットアップします。許可ホストの追加およびユーザ アカウントの作成方法の詳細については、『IDS Device Manager documentation』マニュアルを参照してください。


詳細については、次の参考資料を参照してください。

1. 「デバイスの追加」

2. 「デバイス ステータスの確認」

3. 「IDS Device Manager へのアクセス」

ステップ 3 フィルタおよびビューを設定し、表示するアラームを指定します。

詳細については、次の参考資料を参照してください。

1. 「フィルタの作成」

2. 「ビューの作成」

ステップ 4 リフレッシュ サイクル設定、データベース アーカイブ設定、および検証アプリケーション設定を構成します。

詳細については、次の参考資料を参照してください。

1. 「リフレッシュ サイクルの設定」

2. 「データ アーカイブの設定」

3. 「Web ブラウザ アプリケーションの位置の指定」

4. 「Ethereal アプリケーションの位置の指定」

5. 「NSDB フォルダの位置の指定」

6. 「自動リフレッシュ ビュー設定の変更」

ステップ 5 イベントおよび個別のアラームを表示します。

詳細については、次の参考資料を参照してください。

1. 「イベント データの表示」

2. 「アラームの処理」

ステップ 6 イベント データをインポート、エクスポート、および削除し、データベースをメンテナンスします。

詳細については、「データベース管理」を参照してください。


 

IDS Event Viewer のインストール

次の手順は、ユーザが http://www.cisco.com/cgi-bin/tablebuild.pl/ids-ev から IDS Event Viewer 実行ファイルを適切なホストにダウンロード済みであることを前提としています。


警告 バージョン 3.1 からバージョン 4.x へはアップグレードできません。IDS Event Viewer 3.1 を使用している場合は、そのバージョンをアンインストールしてからバージョン 4.x をインストールしてください。詳細については、「IDS Event Viewer のアップグレード」を参照してください。


始める前に

IDS Event Viewer をインストールするには、管理者特権を持つユーザとしてホストにログインしている必要があります。

IDS Event Viewer をインストールするには、次の手順を実行します。


ステップ 1 IDS Event Viewer 実行ファイルを検索してダブルクリックし、セットアップ プログラムを起動します。

IDS Event Viewer セットアップ プログラムの [Welcome] パネルが表示されます。

ステップ 2 [Next] をクリックし、セットアップ プログラムに進みます。

[Select Destination Location] パネルが表示されます。

ステップ 3 IDS Event Viewer ファイルのデフォルトの位置をそのまま使用する場合は、[Next] をクリックします。変更する場合は、[Browse] をクリックして別のフォルダを検索し、[Next] をクリックします。

[Select Program Manager Group] パネルが表示されます。

ステップ 4 [Next] をクリックし、セットアップ プログラムに進みます。

[Start Installation] パネルが表示されます。

ステップ 5 [Next] をクリックし、セットアップ プログラムに進みます。

[Installing] パネルが表示されます。

ステップ 6 [Next] をクリックし、セットアップ プログラムに進みます。

[Installation Complete] パネルが表示されます。

ステップ 7 [Finish] をクリックし、IDS Event Viewer セットアップ プログラムを終了します。

[Install] ポップアップ ウィンドウが表示されます。

ステップ 8 IDS Event Viewer のインストールを完了するには、このホストをリブートする必要があります。[OK] をクリックし、ホストをリブートします。


 

IDS Event Viewer のアンインストール

バージョン 3.1 からバージョン 4.x へはアップグレードできません。バージョン 3.1 をアンインストールしてからバージョン 4.x をインストールする必要があります。

IDS Event Viewer をアンインストールするには、次の手順を実行します。


ステップ 1 [Start] > [Programs] > [Cisco Systems] > [Cisco IDS Event Viewer] > [Uninstall Cisco IDS Event Viewer] を順番に選択します。

[Select Uninstall Method] パネルが表示されます。

ステップ 2 [Automatic] を選択し、[Next] をクリックします。

[Perform Uninstall] パネルが表示されます。

ステップ 3 [Finish] をクリックし、アンインストールを続けます。

3.1 をアンインストールする場合、プログラムでは、3.1 のインストール時に作成されたパスが削除されません。3.1 のアンインストールを完了するには、Windows システム PATH 変数から次のパスを手動で削除してください。

[ drive letter:\... ]Cisco IDS Event Viewer \ MySQL \ bin

[ drive letter:\... ]Cisco IDS Event Viewer \ JRE \ bin

[ drive letter:\... ]Cisco IDS Event Viewer \ DataFeed \ bin

[ drive letter:\... ]Cisco IDS Event Viewer \ IEV \ bin

[ drive letter:\... ]Cisco IDS Event Viewer \ MySQL \ lib \ opt

Cisco IDS Event Viewer および MySQL サービスが停止され、Cisco IDS Event Viewer ディレクトリ全体とともに削除されます。


 

IDS Event Viewer のアップグレード

IDS Event Viewer を最新のバージョンにアップグレードし、シグニチャ アップデートを適用してソフトウェアを最新の状態に保つことができます。


ヒント アップデートが利用可能になった時にいつでも通知を受け取るようにするには、Active Update ノーティフィケーション サービスにサインナップしてください。



ヒント ソフトウェアを確実にダウンロードできるようにするには、暗号化特権を使用して Cisco.com account に申し込みを行ってください。


始める前に

以前のバージョンの IDS Event Viewer がインストールされている場合は、最新のリリースにアップグレードする前に、次の手順を参照してください。

IDS Event Viewer をアップグレードするには、次の手順を実行します。


ステップ 1 IDS Event Viewer バージョン 3.1 をインストールしている場合は、直接 4.x にアップグレードできません。最新バージョンをインストールするには、次のタスクを完了する必要があります。

a. IDS Event Viewer バージョン 3.1 をアンインストールします。手順については、「IDS Event Viewer のアンインストール」を参照してください。

b. 最新バージョンの IDS Event Viewer をインストールします。手順については、「IDS Event Viewer のインストール」を参照してください。

ステップ 2 IDS Event Viewer バージョン 4.0 をインストールしている場合は、4.1 にアップグレードできます。バージョン 4.1 にアップグレードするには、次のタスクを完了します。

a. 既存のアラーム テーブルをバックアップするかどうかを決定します。インストール プログラムでは、4.0 形式のアラーム テーブルを 4.1 形式に変換します。変換を開始する前に、既存のアラーム テーブルをバックアップするかどうかを選択できます。変換中は、すべてのデータが保存されます。ただし、テーブルを変換できずにアップグレードが失敗すると、バックアップ アラーム テーブルがそれぞれのディレクトリに再コピーされ、バージョン 4.0 が復元されます。

バージョン 4.1 のインストール後は、バージョン 4.0 にはダウングレードできません。

b. IDS Event Viewer 実行ファイルを検索してダブルクリックし、セットアップ プログラムを起動します。

IDS Event Viewer セットアップ プログラムの [Welcome] パネルが表示されます。

c. [Next] をクリックし、セットアップ プログラムに進みます。

[Start Upgrade] パネルが表示されます。

d. 変換が開始される前に既存のアラーム テーブルをバックアップするには、[Backup alert tables] を選択します。

e. [Next] をクリックし、アップグレードに進みます。

アラーム テーブルの 4.1 形式への変換中および 4.1 用の新しいファイルのインストール中は、NSDB へのアップデートを含む IDS Event Viewer サービスが停止します。アップグレード中に、NSDB のすべての注釈が保存されます。


) 変換できないテーブルがある場合は、エラー メッセージが表示され、4.1 アップグレード実行前に削除する必要のあるテーブルのリストが提示されます。


f. リブートしてアップグレードを完了します。


 

IDS Event Viewer の起動


ヒント Windows NT services for IDS Event Viewer が実行されていることを確認してください。[Start] > [Settings] > [Control Panel] > [Services] を選択すると、Cisco IDS Event Viewer および MySQL サービスのステータスを確認できます。


IDS Event Viewer を起動するには、次の手順を実行します。


ステップ 1 デスクトップから Cisco IDS Event Viewer ショートカットをダブルクリックするか、または

ステップ 2 Windows の [Start] メニューから、[Programs] > [Cisco Systems] > [Cisco IDS Event Viewer] > [Cisco IDS Event Viewer] を選択します。


 

監視するデバイスの選択

IDS Event Viewer では、同時に最大 5 個のセンサーのアラームを表示できます。IDS Event Viewer で監視する 5 個のセンサーを指定するには、各センサーを Devices フォルダに追加する必要があります。指定後に、IDS Event Viewer との関連付けに関するプロパティを変更したり、IDS Event Viewer からセンサーを削除できます。この項は、次の手順で構成されています。

「デバイスの追加」

「デバイス プロパティの編集」

「デバイスの削除」

「デバイス ステータスの確認」

デバイスの追加

IDS Event Viewer がセンサーからイベントを受信するには、IDS Event Viewer により監視されるデバイスのリストにセンサーを追加する必要があります。

IDS Event Viewer Devices フォルダにセンサーを追加するには、次の手順を実行します。


ステップ 1 IDS Event Viewer のメイン メニューで [File] > [New] > [Device] を選択します。

[Device Properties] パネルが表示されます。

ステップ 2 [Device Properties] パネルの次のフィールドに入力します。

[Sensor IP Address]

[Sensor Name]

[User Name]

[Password]

[Web Server Port]


) [Device Properties] パネルに入力する情報とセンサーの初期設定時に入力した設定が一致する必要があります。IDS Event Viewer のビューア アクセスを使用してアカウントをセットアップしている場合は、そのアカウントのユーザ名とパスワードを指定します。


ステップ 3 センサーへの接続時に IDS Event Viewer で使用する通信プロトコルを指定するには、[Use encrypted connection (https)] または [Use non-encrypted connection (http)] オプション ボタンを選択します。

ステップ 4 センサーからプルするアラートを指定するには、次の手順を実行します。

a. センサーから最新のアラートをプルするには、[Latest Alerts] チェックボックスを選択します。

IDS Event Viewer がセンサーからアラートを受信します。これは、IDS Event Viewer との接続開始後にセンサーが受信する最初のアラートから開始されます。

b. センサー eventStore からアラートをプルするには、[Latest Alerts] チェックボックスを選択解除し、次の内容を指定します。

[Start Date]

[Start Time]

IDS Event Viewer がセンサーからアラートを受信します。これは、指定した基準に一致する最初のアラートから開始されます。

ステップ 5 特定の重大度レベルのアラームを除外するには、次から 1 つ以上を選択します。

Informational

Low

Medium

High

選択した重大度レベルに一致するアラームは、センサー eventStore からプルされず、Statistical Graph にも表示されません。

ステップ 6 [OK] をクリックして、[Device Properties] パネルを閉じます。

IDS Event Viewer からセンサーに登録要求が送信されます。このリクエストは、デバイス プロパティを修正するか、またはデバイスを削除するまでオープン状態のままになります。


通信プロトコルとして https を指定した場合は、IDS Event Viewer によりセンサーから証明書情報が取得され、[Certificate Information] ダイアログボックスが表示されます。証明書を受け入れ、IDS Event Viewer とセンサー間の https 接続を継続するには、[YES] をクリックします。


ステップ 7 監視するセンサーを追加するには、ステップ 1 から 3 を繰り返します(最大 5 個まで)。


IDS Event Viewer がセンサーに接続できない場合は、接続がないことを示す赤色の X がデバイス名の隣に表示されます。IDS Event Viewer では、コネクションが確立されるか、または IDS Event Viewer からデバイスを削除するまで、センサーへの接続を 20 秒ごとに試行します。



 

デバイス プロパティの編集

センサー IP アドレス、センサー名、または IDS Event Viewer がセンサーへの接続に使用するユーザ アカウントなど、IDS Event Viewer がセンサーとの関連付けを行うプロパティを編集できます。

Devices フォルダにある既存のセンサーのプロパティを編集するには、次の手順を実行します。


ステップ 1 [Devices] フォルダを展開し、センサーのリストを表示します。

ステップ 2 編集するセンサーを右クリックし、[Properties] をクリックします。

[Device Properties] パネルが表示されます。

ステップ 3 変更するプロパティを選択して編集し、[Update] をクリックして変更内容を保存します。


 

デバイスの削除

IDS Event Viewer が監視するデバイスのリストからセンサーを削除できます。Devices フォルダからセンサーを削除すると、IDS Event Viewer によりそのセンサーへの接続が終了され、そのセンサーからのイベントを受信しなくなります。

Devices フォルダからセンサーを削除するには、次の手順を実行します。


ステップ 1 [Devices] フォルダを展開し、センサーのリストを表示します。

ステップ 2 削除するセンサーを右クリックし、[Delete Device] をクリックします。

[Device Deletion Confirmation] ダイアログボックスが表示されます。

ステップ 3 [Yes] をクリックし、[Devices] フォルダからセンサーを削除します。


 

デバイス ステータスの確認

センサーのバージョン情報および接続ステータスを確認するには、次の手順を実行します。


ステップ 1 [Devices] フォルダを展開し、センサーのリストを表示します。

ステップ 2 ステータス情報を確認するセンサーを右クリックし、[Device Status] をクリックします。

[Device Status] ダイアログボックスに、[Sensor Version]、[Device Status]、[Web Server Statistic Information]、[Event Server Statistic Information]、および [Analysis Engine Statistic Information] が表示されます。

IDS Event Viewer では、次のいずれかの接続ステータス応答を戻します。

Subscription not open yet.

Subscription successfully opened.

Failed to open subscription.Check communication parameters.

Network connection error.Is the web server running?

Status unknown.IDS Event Viewer server program may not be running.

ステップ 3 [Device Status] ダイアログボックスを閉じるには、[OK] をクリックします。


 

IDS Device Manager へのアクセス

IDS Event Viewer から特定のセンサー用の IDS Device Manager にアクセスできます。

IDS Device Manager にアクセスするには、次の手順を実行します。


ステップ 1 [Devices] フォルダを展開し、センサーのリストを表示します。

ステップ 2 管理するセンサーをダブルクリックします。

ブラウザ アプリケーションが開き、[Device Properties] パネルで指定したポート番号と暗号化を使用して、このセンサーの IP アドレスに接続します。これで、IDS Device Manager にログインし、センサーを管理できます。


 

フィルタの設定

フィルタにより、ビューから除外するアラームを指定することにより、イベント データのビューをカスタマイズおよび微調整できます。IDS Event Viewer は、デフォルトのフィルタが設定された状態で出荷されています。ただし、Filters フォルダでユーザ定義フィルタを作成および保存できます。これらのフィルタは、後で、任意のデフォルト ビューやユーザ定義ビューに適用できます。この項は、次の手順で構成されています。

「フィルタの作成」

「フィルタ プロパティの編集」

「フィルタの削除」

フィルタの作成

重大度、シグニチャ、または時間など、指定した特性に一致するアラームを含めたり除外するフィルタを作成できます。

フィルタを作成するには、次の手順を実行します。


ステップ 1 IDS Event Viewer のメイン メニューで [File] > [New] > [Filter] を選択します。

[Filter Properties] パネルが表示されます。

ステップ 2 フィルタに名前を付けるには、[Filter Name] フィールドに英数字のテキスト文字列を入力します(最大 64 文字まで)。

ステップ 3 重大度別にアラームをフィルタリングするには、[Filter Functions] の下にある [By Severity] チェックボックスを選択し、重大度レベル チェックボックス [Informational]、[Low]、[Medium]、または [High] から 1 つ以上を選択します。

ステップ 4 発信元アドレスや宛先アドレス別にアラームをフィルタリングするには、[Filter Functions] の下で [By Src Address] または [By Dst Address] チェックボックスをそれぞれ選択し、次の手順を実行します。

a. IP アドレスまたは範囲を含めるには、[Included] オプション ボタンを選択します。IP アドレスまたは範囲を除外するには、[Excluded] オプション ボタンを選択します。

b. 単一の IP アドレスを指定するには、[Unique] オプション ボタンを選択し、[IP Address] フィールドに有効な IP アドレスを入力して [Add] をクリックします。

IP アドレスは、このフィルタにより除外または含まれた(選択内容によって異なります)アドレスのグループに追加されます。

c. IP アドレスを範囲を指定するには、[Range] オプション ボタンを選択し、[Start Address] フィールドに有効な開始 IP アドレスを、[End Address] フィールドに有効な終了 IP アドレスをそれぞれ入力し、[Add] をクリックします。

IP アドレス範囲は、このフィルタにより除外または含まれた(選択内容によって異なります)アドレスのグループに追加されます。

d. IP アドレスまたは IP アドレスの範囲の追加を続行するには、ステップ 4 を繰り返します。

ステップ 5 シグニチャ名別にアラームをフィルタリングするには、[Filter Functions] の下で [By Signature Name] チェックボックスを選択し、次の手順を実行します。

a. シグニチャを検索するには、次のいずれかのタブをクリックします。

[Attack]:攻撃分類カテゴリを識別します。Denial of Service(DOS; サービス拒絶)などの攻撃カテゴリを選択し、そのカテゴリに含まれているすべてのシグニチャを除外できます。

[L2/L3/L4 Protocol]:レイヤ 2、3、および 4 プロトコル カテゴリを識別します。各プロトコル カテゴリを展開し、そのカテゴリに含まれている個別のシグニチャを表示できます。UDP シグニチャなどのプロトコル カテゴリ全体を選択し、そのカテゴリに含まれているすべてのシグニチャを除外できます。

[OS]:オペレーティング システム カテゴリを識別します。各オペレーティング システム カテゴリを展開し、そのカテゴリに含まれている個別のシグニチャを表示できます。Windows NT などのオペレーティング システム カテゴリ全体を選択し、そのカテゴリに含まれているすべてのシグニチャを除外できます。

[Service]:サービス カテゴリを識別します。各サービス カテゴリを展開し、そのカテゴリに含まれている個別のシグニチャを表示できます。DNS などのサービス カテゴリ全体を選択し、そのカテゴリに含まれているすべてのシグニチャを除外できます。

b. 個別のシグニチャを除外するには、該当するシグニチャ カテゴリを展開し、対象となるシグニチャを選択します。

このフィルタにより、選択したシグニチャが除外されます。

ステップ 6 センサー別にアラームを除外するには、[Filter Functions] の下で [By Sensor Name] チェックボックスを選択し、[Devices] フォルダからセンサーを選択します。

ステップ 7 日時別にアラームを除外するには、[Filter Functions] の下で [By UTC Time] チェックボックスを選択し、次の手順を実行します。

a. [Start Date] フィールドに、4 桁の年、2 桁の月と日付を使用した数字を使用して有効な開始日を入力します。

b. [Start Time] フィールドに、2 桁の時間、分、および秒を使用して有効な開始時間を入力します。


ヒント 16:00:00 は 4:00 p.m. と同じです。


c. [End Date] フィールドに、4 桁の年、2 桁の月と日付を使用した数字で有効な終了日を入力します。

d. [End Time] フィールドに、2 桁の時間、分、および秒を使用して有効な終了時間を入力します。


ヒント 22:30:00 は 10:30 p.m. と同じです。


e. 期間を追加するには、ステップ 7 を繰り返します。

ステップ 8 ステータス別にアラームを除外するには、[Filter Functions] の下にある [By Status] チェックボックスを選択し、次のステータス レベル チェックボックスから 1 つ以上を選択します。

[New]

[Acknowledged]

[Assigned]

[Closed]

[Deleted]

ステップ 9 フィルタを保存するには、[OK] をクリックします。

フィルタが Filters フォルダに追加され、ビュー内で使用できるようになります。


 

フィルタ プロパティの編集

Filters フォルダにある既存のフィルタのプロパティを編集するには、次の手順を実行します。


ステップ 1 [Filters] フォルダを展開し、フィルタのリストを表示します。

[Filter Properties] パネルが表示されます。

ステップ 2 編集するフィルタを右クリックし、[Properties] をクリックします。

ステップ 3 [Filter Functions] の下で、必要に応じてプロパティを選択して編集し、[OK] をクリックします。

既存のフィルタが編集したフィルタで上書きされることを警告するダイアログボックスが表示されます。

ステップ 4 [Yes] をクリックすると、既存のフィルタが上書きされ、変更が保存されます。


 

フィルタの削除

Filters フォルダからフィルタを削除するには、次の手順を実行します。


ステップ 1 [Filters] フォルダを展開し、フィルタのリストを表示します。

[Filter Deletion Confirmation] ダイアログボックスが表示されます。

ステップ 2 削除するフィルタを右クリックし、[Delete Filter] をクリックします。

ステップ 3 [Yes] をクリックし、[Filter] フォルダからフィルタを削除します。


 

ビューの設定

ビューを使用すると、指定したソースからのフィルタ処理済みのイベント データを分析できるようになります。IDS Event Viewer は、デフォルトで 5 つのビューが設定された状態で出荷されています。ただし、View Wizard を使用すると、Views フォルダでユーザ定義ビューを作成および保存できます。この項は、次の手順で構成されています。

「ビューの作成」

「ビュー プロパティの編集」

「ビューの削除」

ビューの作成

ビューを作成するには、次の手順を実行します。


ステップ 1 IDS Event Viewer のメイン メニューで [File] > [New] > [View] を選択します。

View Wizard が表示されます。

ステップ 2 ビューに名前を付けるには、[View Name] フィールドに英数字を使用したテキスト文字列を入力します(最大 64 文字まで)。

ステップ 3 フィルタを指定するには、[Use Filter] チェックボックスを選択し、リストからフィルタを選択します。

ステップ 4 表上でのアラームのグループ化方法を指定するには、[Select the grouping style on alarm aggregation table] からグループ作成スタイルを選択します。

ステップ 5 表に表示するカラムを指定するには、[Select the columns initially shown on alarm aggregation table] から 1 つ以上のチェックボックスを選択します。

ステップ 6 カラムのソート順序を指定するには、[Column Secondary Sort Order] リストからオプションを選択します。

ステップ 7 [Next] をクリックし、View Wizard の最後のパネルに進みます。

View Wizard の最後のパネルが表示されます。

ステップ 8 このビューを読み込むアラームを指定するには、[Choose a data source] リストボックスからソースを選択します。


) アラームをリアルタイムで表示するには、[event_realtime_table] を選択します。


ステップ 9 アラーム詳細に表示するカラムを指定するには、[Select the columns initially shown on alarm detail table] から 1 つ以上のカラムを選択します。[Up] または [Down] ボタンを使用すると、これらのカラムの順序を入れ替えられます。

ステップ 10 変更を保存してビューを作成するには、[Finish] をクリックします。

ビューが [Views] フォルダに追加されます。


 

ビュー プロパティの編集


ヒント このビューに関連付けられているデータ ソースだけを変更する必要がある場合は、ビューを右クリックし、[Data Source] を選択します。[Change Data Source] パネルから、現在のビューの新規ソースを選択できます。詳細については、「データ ソースの指定」を参照してください。


Views フォルダにある既存のビューのプロパティを編集するには、次の手順を実行します。


ステップ 1 [Views] フォルダを展開し、ビューのリストを表示します。

View Wizard が表示されます。

ステップ 2 編集するビューを右クリックし、[Properties] をクリックします。

ステップ 3 ビュー名、関連するフィルタ、グループ化スタイル、カラム、またはソート順序を選択して編集します。または、[Next] をクリックして最後のパネルに進みます。ここでは、アラーム詳細のデータ ソースおよびカラムを編集できます。

ステップ 4 [Finish] をクリックし、変更を適用します。

既存のビューが編集したビューで上書されることを警告するダイアログボックスが表示されます。

ステップ 5 [Yes] をクリックすると、既存のビューが上書きされ、変更が保存されます。


 

ビューの削除

Views フォルダからビューを削除するには、次の手順を実行します。


ステップ 1 [Views] フォルダを展開し、ビューのリストを表示します。

[View Deletion Confirmation] ダイアログボックスが表示されます。

ステップ 2 削除するビューを右クリックし、[Delete View] をクリックします。

ステップ 3 [Yes] をクリックし、Views フォルダからビューを削除します。


 

プリファレンスの設定

[Edit] メニューから、グラフまたは表ビューのコンテンツをリフレッシュする頻度を設定できます。また、アーカイブを設定し、パフォーマンスを最適化できます。この項は、次の手順で構成されています。

「リフレッシュ サイクルの設定」

「データ アーカイブの設定」

リフレッシュ サイクルの設定

リフレッシュ サイクル設定を構成するには、次の手順を実行します。


ステップ 1 IDS Event Viewer のメイン メニューで [Edit] > [Preferences] > [Refresh Cycle] を選択します。

[Preferences] パネルの [Refresh Cycle] タブが表示されます。

ステップ 2 自動リフレッシュ サイクルを設定するには、次のいずれかの手順を実行します。

a. 自動リフレッシュを 1 ~ 59 分ごとに実行するように設定するには、[Every _ Minute(s)] オプション ボタンを選択し、リストから時間間隔を選択して [Apply] をクリックします。

b. 自動リフレッシュを 1 ~ 23 時間ごとに実行するように設定するには、[Every _ Hour(s)] オプション ボタンを選択し、リストから時間間隔を選択して [Apply] をクリックします。

c. 自動リフレッシュを 1 日に 1 回ずつ実行するように設定するには、[Every day at time] オプション ボタンを選択し、リストから具体的な時間を選択して [Apply] をクリックします。

d. 自動リフレッシュを停止するには、[Stop Auto Refresh] オプション ボタンを選択し、[Apply] をクリックします。

ステップ 3 [Preferences] パネルを閉じるには、[Close] ボタンをクリックします。


 

データ アーカイブの設定

IDS Event Viewer には、リアルタイム イベントのアーカイブを可能にし、着信イベントがディスク スペースを確実に利用できるようにするためのデータベース アーカイブ機能が含まれています。2 つのしきい値によりアーカイブ プロセスをコントロールします。1 つは時間間隔で、もう 1 つはレコードの最大数です。どちらかのしきい値をまたぐと、アーカイブ プロセスが開始されます。

時間間隔しきい値を超過すると、ステータスがアーカイブ設定と一致するすべてのレコードが、event_realtime_table から archive_table.timestamp に移動されます。ステータスが [Deleted] に設定されているアラームは、すべて削除されます。

最大レコードしきい値を超過すると、ステータスが [Deleted] に設定されているアラームは、event_realtime_table からすべて削除されます。次に、ステータスがアーカイブ設定と一致するすべてのレコードが、event_realtime_table から archive_table.timestamp に移動されます。最初のアーカイブ プロセス後に、event_realtime_table still 内にまだ最大許可レコード数の半分を超える数が含まれている場合は、アーカイブ プロセスが継続し、レコードがアーカイブおよび削除されます(ステータスが [New] に設定されているものは除外されます)。残されているレコード数が最大許可レコード数を超過している場合は、ステータスが [New] に設定されているものも含め、残されているすべてのレコードがアーカイブされます。

データ アーカイブ設定を構成するには、次の手順を実行します。


ステップ 1 IDS Event Viewer のメイン メニューで [Edit] > [Preferences] > [Data Archival Setup] を選択します。

[Preferences] パネルの [Data Archival Setup] タブが表示されます。

ステップ 2 アーカイブするアラームを指定するには、次のアラーム ステータス チェックボックスから 1 つ以上を選択します。

[New]

[Acknowledged]

[Assigned]

[Closed]

ステップ 3 時間間隔しきい値をイネーブルにするには、[Enable time schedule for archiving events] を選択し、次の手順を実行します。

a. アーカイブを 1 ~ 59 分ごとに実行するように設定するには、[Every _ Minute(s)] オプション ボタンを選択し、リストから時間間隔を選択します。

b. アーカイブを 1 ~ 23 時間ごとに実行するように設定するには、[Every _ Hour(s)] オプション ボタンを選択し、リストから時間間隔を選択します。

c. アーカイブを 1 日に 1 回ずつ実行するように設定するには、[Every day at time] オプション ボタンを選択し、リストから具体的な時間を選択します。

ステップ 4 event_realtime_table で許可されるリアルタイム イベントの最大数を指定するには、[Maximum number of events in 'event_realtime_table'] フィールドに数値(1000 ~ 1,000,000)を入力します。しきい値が一致すると、IDS Event Viewer では、event_realtime_table 内で新しいイベント用のスペースを確保するためのイベント アーカイブが開始されます。

ステップ 5 アーカイブ ファイルの最大数を指定するには、[Maximum number of archived files] フィールドに数値(10 ~ 400)を入力します。しきい値が一致すると、IDS Event Viewer では、最も古いアーカイブ ファイル半分の圧縮を開始し、それを圧縮済みディレクトリに移動します。

ステップ 6 圧縮済みアーカイブ ファイルの最大数を指定するには、[Maximum number of compressed archived files] フィールドに数値(10 ~ 400)を入力します。しきい値が一致すると、IDS Event Viewer では、最も古いアーカイブ ファイル半分のパージを開始します。


) event_realtime_table 全体用として利用可能なディスク スペースを維持するため、IDS Event Viewer では、利用可能なディスク スペースが必要なスペースの 3 倍を超えるまで、先入れ先出し方式に基づいて圧縮およびアーカイブ ファイルをパージします。


ステップ 7 変更を保存するには、[Apply] をクリックします。

ステップ 8 [Preferences] パネルを閉じるには、[Close] ボタンをクリックします。


 

アプリケーション設定の構成

IDS Event Viewer は、データベース、取得、および通信機能の実行をサポート アプリケーションに依存しています。[Edit] メニューから、これらのサポート アプリケーションの位置を指定できます。この項は、次の手順で構成されています。

「Web ブラウザ アプリケーションの位置の指定」

「Ethereal アプリケーションの位置の指定」

「NSDB フォルダの位置の指定」

「リフレッシュ サイクルの設定」

Web ブラウザ アプリケーションの位置の指定


IDS Event Viewer では、IDS Event Viewer のインストール時に、Web ブラウザの位置が検出されます。ブラウザ アプリケーションの位置を指定する必要があるのは、Internet Explorer または Netscape 実行ファイルを後で別のディレクトリに移動する場合だけです。



) IDS Event Viewer バージョン 4.0 では、Internet Explorer バージョン 5.5 以降および Netscape バージョン 4.7 以降をサポートしています。


ブラウザの位置を指定するには、次の手順を実行します。


ステップ 1 IDS Event Viewer のメイン メニューで [Edit] > [Applications Settings] を選択します。

[Application Settings] パネルが表示されます。

ステップ 2 Internet Explorer または Netscape 実行ファイルの位置(ドライブ名から開始)を [HTML Browser Location] フィールドに入力するか、または [Browse] をクリックしてファイルを検索します。

ステップ 3 [OK] をクリックして変更を受け入れ、[Application Settings] パネルを閉じます。


 

Ethereal アプリケーションの位置の指定


IDS Event Viewer のインストール時にシステムに Ethereal がインストールされている場合は、IDS Event Viewer により位置が検出されます。Ethereal の位置を指定する必要があるのは、Ethereal 実行ファイルを後で別のディレクトリに移動する場合、または IDS Event Viewer のインストール後に Ethereal をインストールする場合だけです。


Ethereal の位置を指定するには、次の手順を実行します。


ステップ 1 IDS Event Viewer のメイン メニューで [Edit] > [Applications Settings] を選択します。

[Application Settings] パネルが表示されます。

ステップ 2 Ethereal 実行ファイルの位置(ドライブ名から開始)を [Ethereal Executable File Location] フィールドに入力するか、または [Browse] をクリックしてファイルを検索します。

ステップ 3 [OK] をクリックして変更を受け入れ、[Application Settings] パネルを閉じます。


 

NSDB フォルダの位置の指定


NSDB は、IDS Event Viewer のインストール中にインストールされます。NSDB の位置を指定する必要があるのは、IDS Event Viewer のインストール後に NSDB HTML フォルダを別のディレクトリに移動する場合だけです。


NSDB の位置を指定するには、次の手順を実行します。


ステップ 1 IDS Event Viewer のメイン メニューで [Edit] > [Applications Settings] を選択します。

[Application Settings] パネルが表示されます。

ステップ 2 NSDB HTML フォルダの位置(ドライブ名から開始)を [NSDB HTML Folder Location] フィールドに入力するか、または [Browse] をクリックしてフォルダを検索します。

ステップ 3 [OK] をクリックして変更を受け入れ、[Application Settings] パネルを閉じます。


 

自動リフレッシュ ビュー設定の変更

デフォルトでは、Drill Down Dialog 表または Expanded Details Dialog 表の行を削除すると、そのビューの集約表が自動的にリフレッシュされ、変更内容が反映されます。ただし、デフォルト設定を変更して、次のリフレッシュ サイクルまで下位ビューの変更が親ビューに反映されないようにもできます。

自動リフレッシュ データベース設定を変更するには、次の手順を実行します。


ステップ 1 IDS Event Viewer のメイン メニューで [Edit] > [ Applications Settings] を選択します。

[Application Settings] パネルが表示されます。

ステップ 2 デフォルトの自動リフレッシュ ビュー設定を変更するには、[Auto refresh parent view on database modifications] チェックボックスを選択解除します。

ステップ 3 [OK] をクリックして変更を受け入れ、[Application Settings] パネルを閉じます。


 

イベント データの表示

IDS Event Viewer の設定後、ビューおよび表を操作して、監視しているセンサーのイベント データを表示できます。この項は、次の概要および手順で構成されています。

「表およびグラフの概要」

「データ ソースの指定」

「すべてのカラムの表示」

「カラム データのソート」

「複数のビューの表示」

「グラフのイベントの表示」

「イベント詳細の表示」

「Realtime Dashboard でのイベントの表示」

「Ethereal の使用」

表およびグラフの概要

IDS Event Viewer を使用すると、分析中のイベント データに特殊化したビューを提供するさまざまな表およびグラフにアクセスできるようになります。ビューを作成して個々の表やグラフでの作業を開始する前に、次の説明内容を確認してください。

次の表およびグラフは、ビューのイベントを整理します。これらの表およびグラフに表示されているイベントは、ビュー用に選択したデータ ソースによって異なります。データソースには、event_realtime_table、アーカイブ済みの表、またはインポートしたログ ファイルなどがあります。

Alarm Aggregation 表:すべてのビューで最初に表示される表です。アラーム集約表にアクセスするには、[Views] フォルダでビュー名をダブルクリックします。

Expanded Details Dialog 表:アラーム集約表にリストされている特定のイベントの詳細を表示します。Expanded Details Dialog 表にアクセスするには、アラーム集約表の最初のカラムの行をダブルクリックします。

Drill Down Dialog 表:UDP Bomb イベントに関連付けられた個別のソース アドレスなど、アラーム集約表の特定のカラム用の個別エントリを表示します。Drill Down Dialog 表にアクセスするには、アラーム集約表のカラム(最初のカラムまたは Total Alarm Count 以外)をダブルクリックします。

Alarm Information Dialog 表:特定のイベントの個別アラームを表示します。Alarm Information Dialog 表にアクセスするには、アラーム集約表の [Total Alarm Count] カラムをダブルクリックするか、Expanded Details Dialog 表の最初のカラムを右クリックします。

Statistical Graph:データ ソースに適用されたフィルタに基づき、IDS Event Viewer が受信したアラームの平均数を表示します。したがって、フィルタによっては、Statistical Graph に真のアラーム平均数が反映されないこともあります。これらのイベントのタイム スタンプでは、センサーによってアラームが生成された時間が反映されます。

次の表およびグラフは、IDS Event Viewer で継続的に実行されているスレッドからのイベントを整理します。このスレッドでは、IDS Event Viewer が受信するアラームの合計数を継続的に監視および集約します。

Realtime Dashboard:IDS Event Viewer がセンサーからイベントを受信するときに、これらのイベントをリアルタイムで表示します。最新のイベントが表の最上位に表示されます。デフォルトでは、Realtime Dashboard では、IDS Event Viewer 内で設定されているすべてのデバイスから受信した最新のイベントが表示されます。特定のデバイスからのイベントや、特定の重大度レベルのイベントだけを表示するように Realtime Dashboard を設定できます。また、IDS Event Viewer がセンサーからイベントを取得する頻度や、表示するイベントの最大数も設定できます。

Realtime Graph:IDS Event Viewer が受信するアラームの平均数を表示します。これらのイベントのタイム スタンプでは、IDS Event Viewer がアラームを受信した時間が反映されるため、必ずしもセンサーによってアラームが生成された時間であるとは限りません。

データ ソースの指定

ビューに表示する必要のあるイベントを提示するには、データ ソースをビューと関連付ける必要があります。

ビューと関連付けるデータ ソースを指定または変更するには、次の手順を実行します。


ステップ 1 [Views] フォルダを展開し、ビューのリストを表示します。

ステップ 2 データ ソースを指定するビューを右クリックし、[Data Source] をクリックします。

[Change Data Source] ダイアログボックスが表示されます。

ステップ 3 [Select the data source for current view(s)] リストからデータ ソースを選択し、[OK] をクリックします。

ビューが開くと、新規データ ソースからのイベントで表が自動的にリフレッシュされます。それ以外の場合に新規データ ソースからのイベントでビューをリセットするには、[Views] フォルダでビューをダブルクリックします。


 

すべてのカラムの表示

カラムを右クリックすると、現在のビューでカラムを非表示にできます。ビューで非表示になっているカラムを含め、後からすべてのカラムを表示できます。

すべてのカラムを表示するには、次の手順を実行します。


ステップ 1 現在のビューのすべてのカラムを表示するには、カラム見出しを右クリックし、[Show All Columns] を選択します。

このビュー用に設定されているカラムが表示されます。

ステップ 2 単一のカラムを非表示にするには、カラム見出しを右クリックし、[Hide Column] を選択します。


) アラーム集約表の最初または最後のカラムは非表示にできません。


カラムが非表示になるのは、現在のビューからだけです。この特定のビューを次回に開くと、カラムが表示されるようになります。カラムを永久的に削除する場合は、ビュー プロパティを編集します。

ステップ 3 カラム見出しの後に省略記号(...)が表示されているカラムについては、カラムを分割するバーをクリックしてドラッグし、カラムを展開します。

ステップ 4 最初のカラム以外のすべてのカラムについて、カラムのセルをダブルクリックし、ドリルダウンしてカラムのコンテンツを表示してください。

[Total Alarm Count] カラムをダブルクリックした場合以外は、Drill Down Dialog が表示されます。[Total Alarm Count] カラムをダブルクリックした場合は、Alarm Information Dialog が表示されます。

ステップ 5 発生数の後に矢印(->)を表示しているセルについては、そのセルをダブルクリックすると、セルの内容が表示されます。

別の表が Drill Down Dialog に表示され、セルのコンテンツを示します。この 2 番目の表で矢印(->)を含むセルをダブルクリックすると、Alarm Information Dialog が表示されます。


 

カラム データのソート

表のデータは、カラム別に昇順または降順でソートできます。

カラムのデータをソートするには、次の手順を実行します。


ステップ 1 現在のビューのすべてのカラムを表示するには、カラム見出しを右クリックし、[Show All Columns] を選択します。

ステップ 2 カラム見出しをダブルクリックし、ソートするデータを含んでいるカラムを選択します。

カラム データに適用可能なソート順序を示す [Up Arrow(上向き矢印)] または [Down Arrow(下向き矢印)] が表示されます。

ステップ 3 矢印をクリックし、指定した順序でデータをソートします。


) 表のソートは、1 度に 1 つのカラムごとにしかできません。したがって、別のカラム見出しをダブルクリックすると、矢印が以前のカラムから削除され、選択したカラム見出しの隣に表示されます。



 

複数のビューの表示

同時に複数のビューを表示できます。IDS Event Viewer では、1 つのビューが他のビューの背後に配置され、それぞれのビューのタブが表示されます。

複数のビューを表示するには、次の手順を実行します。


ステップ 1 [Views] フォルダを展開し、ビューのリストを表示します。

ステップ 2 ビューを開くには、ビュー名をダブルクリックします。

右側のビュー ペインに、アラーム集約表を示すビューが表示されます。

ステップ 3 さらに他のビューを開くには、ステップ 2 を繰り返します。

ステップ 4 単一のビューを閉じるには、そのビューのタブを右クリックし、[CloseX] を選択します。この場合、 X は、ビュー名を表します。

ステップ 5 すべてのビューを閉じるには、任意のビューのタブを右クリックし、[Close All Views] を選択します。

開いているすべてのビューが閉じます。


 

イベント詳細の表示

イベントを展開すると、シグニチャ名や重大度レベルなど、そのイベントに関連付けられている詳細情報を表示できます。

すべてのイベント詳細を表示するには、次の手順を実行します。


ステップ 1 展開するイベントに関連付けられているアラーム集約表の最初のカラムにあるセルを右クリックし、[Expand Whole Details] を選択します。

[Expanded Details Dialog] が [Whole Address] パネルとともに表示されます。

ステップ 2 アドレス カテゴリ別にイベントを表示するには、[Class A Level]、[Class B Level]、または [Class C Level] タブをクリックします。


 

グラフのイベントの表示

イベントを Realtime Graph または Statistical Graph で表示できます。各グラフでは、分当たりのアラーム平均数を重大度レベルに応じて表示できます。ただし、各グラフは、異なるデータ ソース、つまり、イベントに対する異なるビューを表しています。

Realtime Graph は、IDS Event Viewer で継続的に実行されているスレッドからイベントと移入されます。このスレッドでは、IDS Event Viewer が受信するアラームの合計数を継続的に監視および集約します。Realtime Graph に表示されるイベントは、IDS Event Viewer によって受信されたアラームの平均数を反映しています。これらのイベントのタイム スタンプでは、IDS Event Viewer がアラームを受信した時間が反映されるため、必ずしもセンサーによってアラームが生成された時間であるとは限りません。

Statistical Graph には、選択したデータ ソースからのイベントが移入されています。有効なデータ ソースには、event_realtime_table、アーカイブ済みの表、またはインポートしたログ ファイルがあります。Statistical Graph に表示されるイベントでは、データ ソースに適用されたフィルタに基づき、IDS Event Viewer が受信したアラームの平均数が反映されています。したがって、フィルタによっては、Statistical Graph に真のアラーム平均数が反映されないこともあります。これらのイベントのタイム スタンプでは、センサーによってアラームが生成された時間が反映されます。

グラフを表示するには、次の手順を実行します。


ステップ 1 Realtime Graph を表示するには、[Tools] > [Realtime Graph] を選択します。

Realtime Graph が表示されます。

ステップ 2 Statistical Graph を表示するには、次の手順を実行します。

a. [Views] フォルダを展開し、グラフに表示するアラーム データを含むビューを検索します。

b. ビューを右クリックし、[Statistical Graph] を選択します。

IDS Event Viewer では、選択したビューのデータ ソースをクエリーし、分当たりの平均アラームを計算します。Statistical Graph が表示され、結果を示します。

ステップ 3 グラフに表示されるイベントの範囲を変更するには、次の手順を実行します。

a. ビューを進める時間枠を指定します。

b. [SPAN] で選択した間隔で開始時間を調整するには、前後の矢印を使用します。

ステップ 4 プレゼンテーション方法をバーまたはエリア グラフに変更するには、[Bar] または [Area] をクリックします。


 

Realtime Dashboard でのイベントの表示

Realtime Dashboard を使用すると、センサーからのリアルタイム イベントの継続的なストリームを表示できます。

Realtime Dashboard でイベントを表示するには、次の手順を実行します。


ステップ 1 [Tools] > [Realtime Dashboard] > [Launch Dashboard] を選択します。

IDS Event Viewer により、センサーにともなう登録要求が開かれます。接続が成功すると、Realtime Dashboard が表示され、要求が開始された後にセンサーが受信した最新のイベントが提示されます。

ステップ 2 リアルタイム イベントのストリームを一時停止するには、[Pause] をクリックします。

IDS Event Viewer により、Realtime Dashboard へのイベントの移入が停止されます。

ステップ 3 リアルタイム イベントのストリームを再開するには、[Resume] をクリックします。

IDS Event Viewer により、Realtime Dashboard に、ストリームの位置停止後に受信された最初のイベントから、イベントの移入が開始されます。

ステップ 4 Realtime Dashboard からの既存のイベントをすべてクリアするには、[Reconnect] をクリックします。

すべての既存のイベントが Realtime Dashboard から削除され、IDS Event Viewer により、センサーとの新規登録が開かれます。


 

Realtime Dashboard 設定の構成

デフォルトでは、Realtime Dashboard では、IDS Event Viewer 内で設定されているすべてのデバイスから受信した最新のイベントが表示されます。特定のデバイスからのイベントや、特定の重大度レベルのイベントだけを表示するように Realtime Dashboard を設定できます。また、Realtime Dashboard がセンサーからイベントを取得する頻度や、表示するイベントの最大数も設定できます。

Realtime Dashboard 設定を構成するには、次の手順を実行します。


ステップ 1 [Tools] > [Realtime Dashboard] > [Properties] を選択します。

[Realtime Dashboard Properties] パネルが表示されます。

ステップ 2 重大度レベル別にアラームを除外するには、次の 1 つ以上の重大度を選択します。

Informational

Low

Medium

High

選択した重大度レベルと一致するアラームが Realtime Dashboard に表示されなくなります。

ステップ 3 特定のデバイスからのイベントを除外するには、次のセンサーの [Exclude] イベントの下でデバイスを選択します。

IDS Event Viewer では、このデバイスに対してオープンになっている登録をすべて閉じ、そのセンサーからのイベントを受信しなくなります。

ステップ 4 各秒ごとに IDS Event Viewer が取得するイベント数を設定するには、次の手順を実行します。

a. IDS Event Viewer が各要求で取得するイベント数(1 ~ 200)を指定します。

b. IDS Event Viewer がさらにイベントを取得する前の経過時間を秒数(1 ~ 120)で指定します。

ステップ 5 Realtime Dashboard で表示するイベントの最大数(25 ~ 5,000)を指定します。

最大数に達すると、一番古いアラームが Realtime Dashboard から削除されます。このプロセスは、Realtime Dashboard のアラーム数が、指定した最大数未満になるまで継続されます。

ステップ 6 [Apply] をクリックして変更を保存し、[Realtime Dashboard Properties] パネルを閉じます。


 

Ethereal の使用

Ethereal は、Windows 用のネットワーク プロトコル アナライザで、ライブ ネットワークやキャプチャ ファイルからのデータを検査します。キャプチャ データを対話的にブラウズし、TCP セッションの再構築ストリームなど、各パケットの要約情報と詳細情報を表示できます。Ethereal が IDS Event Viewer と同じホストにインストールされている場合は、Ethereal アプリケーションを [IDS Event Viewer Tools] メニューから起動し、IP ログ ファイルを表示できます。また、センサーの capturePacket パラメータを設定していれば、IDS Event Viewer により Ethereal を使用してトリガー パケットが表示されます。詳細については、「取り込んだパケットの表示」を参照してください。

アラームの処理

対象となるイベント データを表示するためのビューおよび表の操作方法を理解できたら、これらのイベントの個別のアラームの管理を開始できます。このタスクには、確認したアラームのステータスの設定、追跡するアラームへの注釈の追加、または詳細なアラームおよびシグニチャ情報の確認などが含まれます。

「個別アラームの表示」

「アラーム ステータスの設定」

「アラームへの注釈の追加」

「アラーム コンテキストの表示」

「取り込んだパケットの表示」

「攻撃の詳細の表示」

「NSDB へのアクセス」

個別アラームの表示

イベントに関連付けられている個別アラームを表示できます。

個別のアラームを表示するには、次の手順を実行します。


ステップ 1 アラーム集約表からアラームを表示するには、次の手順を実行します。

a. 表示するアラームが含まれているイベントの、イベント詳細を展開します。

[Expanded Details Dialog] が表示されます。

b. [Expanded Details Dialog] の行を右クリックし、[View Alarms] を選択します。

[Alarm Information Dialog] が表示されます。

ステップ 2 任意の表からアラームを表示するには、次の手順を実行します。

a. スクロールして [Total Alarm Count] カラムを探します。

b. [Total Alarm Count] カラム内で、表示するアラームを含むセルをダブルクリックします。

[Alarm Information Dialog] が表示されます。


 

アラーム ステータスの設定

ステータスをアラームと関連付け、IDS Event Viewer または組織内の別の担当者によりアクションを実行する必要があるか([Deleted] としてマークの付けられたアラームに対して、またはアラーム アーカイブ中)を提示できます。


ヒント アラーム集約表の最初のカラムのセルを右クリックすると、そのセルのすべてのアラームのステータスを変更できます。これは、複数のアラームを同時に削除する場合に便利です。


アラームのステータスを設定するには、次の手順を実行します。


ステップ 1 ステータスを設定するアラームを検索します。

ステップ 2 そのアラームのステータスを設定するには、次の手順を実行します。

a. アラームを右クリックし、[Set Status To] を選択します。

b. 次のいずれかを選択します。

[New]

[Acknowledged]

[Assigned]

[Closed]

[Deleted]

c. [Alarm Status] カラムでステータスを選択し、リストからステータスを選択します。


 

アラームへの注釈の追加

アラーム エントリに対して注釈を追加(最大 255 文字)し、これらの注釈をアラーム エントリの一部としてデータベースに保存できます。

アラームに注釈を追加するには、次の手順を実行します。


ステップ 1 注釈を追加するアラームを検索します。

ステップ 2 [Notes] カラムまでスクロールします。

ステップ 3 注釈を追加するアラームの [Notes] カラムのセルをダブルクリックします。

セルがアクティブになり、カーソルが表示されます。

ステップ 4 この特定のアラームについて保存する注釈を入力し、 Enter キーを押します。


 

アラーム コンテキストの表示

一部のアラームには、コンテキスト データが関連付けられていることがあります。コンテキスト データは、シグニチャのトリガーに先行する受信および送信バイナリ TCP トラフィックのスナップショットを提供します(双方向とも最大 256 バイト)。

アラームのコンテキストを表示するには、次の手順を実行します。


ステップ 1 [Alarm Information Dialog] または [Realtime Dashboard] から、[Context] カラムのセルを右クリックし、[Show Context] を選択します。

[Decoded Alarm Context] パネルが表示されます。


 

取り込んだパケットの表示

アラームのパケット取り込みを実行するようにセンサーを設定している場合、特定のアラームが、ユーザが表示できるパケット データを取り込んでいる可能性があります。システムに Ethereal をインストールしている場合は、IP ヘッダー情報など、完全にデコードされた出力を表示できます。Ethereal がない場合は、IDS Event Viewer のトリガー パケットの 16 進値 ASCII コード表現を表示できます。

アラームの、取り込まれたパケットを表示するには、次の手順を実行します。


ステップ 1 [Alarm Information Dialog] または [Realtime Dashboard] から、表示する、取り込まれたパケットを伴うアラームを検索します。


) アラームに、取り込まれたパケットがある場合は、[present] が [Captured Packet] カラムの対応セルに表示されます。ブランクのセルは、パケットがまったく取り込まれていないことを示します。


ステップ 2 [Captured Packet] カラムの対応するセルを右クリックし、[Show Captured Packet] を選択します。

IDS Event Viewer では、base64 出力をデコードし、それを Cisco IDS Event Viewer/IEV/temp/ ディレクトリの /path to にある myTriggerPacket.txt ファイルに保存します。
Ethereal をシステムにインストールしており、Ethereal 実行ファイルへのパスが Application Settings パネルに正しく設定されている場合は、IDS Event Viewer により .txt ファイル(myTriggerPacket.txt)を .pcap ファイル(myTriggerPacket.pcap)に変換するためのプロセスが開始されます。その後、.pcap ファイルは、Ethereal を使用して表示されます。

ステップ 3 Ethereal がシステムにインストールされていない場合は、エラー メッセージが表示されます。[OK] をクリックしてエラー メッセージを閉じます。

[Captured Packet] ダイアログが表示され、トリガー パケットの 16 進値 ASCII コード表現が提示されます。


 

攻撃の詳細の表示

スイープ攻撃などの特定の攻撃は、複数の被害者に影響を及ぼすことがあり、複数の攻撃者により実行されている場合があります。これらの攻撃から生成されたアラームには、攻撃の要約に関する詳細情報が含まれています。

アラームに対する攻撃の詳細情報を表示するには、次の手順を実行します。


ステップ 1 [Alarm Information Dialog] または Realtime Dashboard から、アラームを右クリックし、[Show Attack Details] を選択します。

[Summary Attack Details] パネルが表示されます。


 

NSDB へのアクセス

NSDB は、シグニチャ ID、タイプ、構造、および説明などの個別のシグニチャ情報のリポジトリです。

NSDB にアクセスするには、下記のいずれかの手順を実行します。


ステップ 1 [Expanded Details Dialog] から任意のカラムを右クリックし、[NSDB Link] を選択します。

または

ステップ 2 [Alarm Information Dialog] から任意のカラムを右クリックし、[NSDB Link] を選択します。

または

ステップ 3 [Drill Down Dialog] から最初のカラムのセルを右クリックし、[NSDB Link] を選択します。

または

ステップ 4 [Tools] > [NSDB Link] を選択します。


 

データベース管理

データベース管理は、IDS Event Viewer の整合性の維持に不可欠です。イベント データ管理には、イベント データの定常的なインポート、エクスポート、および削除などが含まれます。この項は、次の手順で構成されています。

「ログ ファイルのインポート」

「表のエクスポート」

「データ ソースからの表の削除」

「アラームの削除」

ログ ファイルのインポート

ログ ファイルをインポートするには、次の手順を実行します。


ステップ 1 IDS Event Viewer のメイン メニューで [File] > [Database Administration] > [Import Log Files] を選択します。

[Import Log Files] パネルが表示されます。

ステップ 2 [Browse] をクリックし、インポートするファイルを検索します。

ステップ 3 データ フィールドの分割方法を指定するには、リスト ボックス別に分割されているログ ファイルの [Fields] から [Comma (CSV)] または [Tab] を選択します。

ステップ 4 ログ ファイル情報を新しい表にインポートするには、次の手順を実行します。

a. [How to Import Log Files] の下にある [Create New Table] オプション ボタンを選択します。

b. 有効な表名を入力します。

ステップ 5 ログ ファイル情報を既存の表にインポートするには、次の手順を実行します。

a. [How to Import Log Files] の下にある [Append to Existing Table] オプション ボタンを選択します。

b. リスト ボックスから既存の表を選択します。

ステップ 6 ログ ファイルをインポートするには、[Import] をクリックします。

選択したオプションに応じて、ログファイルが既存の表に添付されるか、または表が作成されます。次に、この表を特定のビューのデータ ソースとして選択し、ログ ファイル内のアラームを表示できます。


) Sensor Postoffice3.x または IEV4.0 形式のログ ファイルは、インポート時に IEV 4.1 形式に変換されます。



 

表のエクスポート

IDS Event Viewer 表から ASCII ファイルにデータをエクスポートできます。

表をエクスポートするには、次の手順を実行します。


ステップ 1 IDS Event Viewer のメイン メニューで [File] > [Database Administration] > [Export Tables] を選択します。

[Export Database Tables] パネルが表示されます。

ステップ 2 エクスポートした表の保存先を指定するには、[Browse] をクリックし、ファイル用のディレクトリを選択します。

ステップ 3 エクスポートしたファイルに名前を付けるには、[ASCII file name] フィールドに名前を入力します。

ステップ 4 ASCII ファイルにエクスポートする表を選択します。複数の表を選択するには、 Ctrl キーを押したまま対象の表名をクリックします。


) デフォルトでは、IEV 4.1 形式で表がエクスポートされます。このオプションは淡色表示されています。


ステップ 5 ASCII 形式での表フィールドの分割方法を指定するには、ASCII ファイルの [How to separate] フィールドの下にある [Separate by Comma] または [Separate by TAB] オプション ボタンを選択します。

ステップ 6 表をエクスポートするには、[Export] をクリックします。


 

データ ソースからの表の削除

表示に使用可能なデータ ソースのリストから既存の表を削除できます。

データ ソース リポジトリから表を削除するには、次の手順を実行します。


ステップ 1 IDS Event Viewer のメイン メニューで [File] > [Database Administration] > [Data Source Information] を選択します。

[Data Source Information] パネルが表示されます。

ステップ 2 削除する表に対応する行を選択し、[Delete Tables] をクリックします。

[Table Deletion Confirmation] ダイアログボックスが表示されます。

ステップ 3 [Yes] をクリックし、データ ソース リポジトリから表を削除します。


 

アラームの削除

データ ソースからアラームを削除するには、次の手順を実行します。


ステップ 1 ステータスが [Deleted] に設定されているアラームを削除するには、次の手順を実行します。

a. 削除するすべてのアラームのステータスが [Deleted] に設定されていることを確認してください。

b. IDS Event Viewer のメイン メニューで [File] > [Database Administration] > [Data Source Information] を選択します。

[Data Source Information] パネルが表示されます。

c. 削除するアラームを含んでいる表に対応する行を選択し、[Purge Tables] をクリックします。

ステータスが [Deleted] に設定されているアラームが表から削除されます。

ステップ 2 開かれているビューに関連付けられている表からすべてのアラームを削除するには、そのビューのタブを右クリックし、[Set All Status to Deleted and Purge] を選択します。

その表のすべてのアラームのステータスが [Deleted] に設定され、表の内容がパージされます。

ステップ 3 開かれているビューに関連付けられている表から単一の行を削除するには、削除する行を選択し、その表の最初のカラムを右クリックして [Delete Row (s) from Database] を選択します。


) Alarm Aggregation 表、Expanded Details Dialog 表、または Drill Down Dialog 表の単一行を削除できます。